고객 관리형 키 지원
Power Platform에 저장된 모든 고객 데이터는 기본적으로 Microsoft 관리 키(MMK)를 사용하여 유휴 상태에서 암호화됩니다. CMK(고객 관리형 키)를 사용하면 고객이 자체 암호화 키를 가져와 Power Automate 데이터를 보호할 수 있습니다. 이 기능을 통해 고객은 Power Platform 자산을 관리할 수 있는 추가 보호 계층을 가질 수 있습니다. 이 기능을 사용하면 필요에 따라 암호화 키를 교체하거나 교환할 수 있습니다. 또한 언제든지 Microsoft 서비스에 대한 키 액세스를 취소하도록 선택한 경우 고객 데이터에 대한 Microsoft의 액세스를 방지합니다.
CMK를 사용하면 워크플로 및 모든 관련 미사용 데이터가 환경에 따라 분할된 전용 인프라에 저장되고 실행됩니다. 여기에는 워크플로 정의, 클라우드 및 데스크톱 흐름 모두, 자세한 입력 및 출력이 포함된 워크플로 실행 기록이 포함됩니다.
CMK를 사용하여 흐름을 보호하기 전에 필수 구성 요소 고려 사항
환경에 CMK 엔터프라이즈 정책을 적용할 때 다음 시나리오를 고려합니다.
- CMK 엔터프라이즈 정책이 적용되면 클라우드 흐름과 CMK를 사용하는 해당 데이터가 자동으로 보호됩니다. 일부 흐름은 MMK에 의해 계속 보호될 수 있습니다. 관리자는 PowerShell 명령을 사용하여 이러한 흐름을 식별할 수 있습니다.
- 흐름의 생성 및 업데이트는 마이그레이션 중에 차단됩니다. 실행 기록은 전달되지 않습니다. 마이그레이션 후 최대 30일 동안 지원 티켓을 통해 요청할 수 있습니다.
- 현재 CMK는 비 OAuth 연결을 암호화하는 데 활용되지 않습니다. 이러한 비-Microsoft Entra 기반 연결은 MMK를 사용하여 미사용 시 계속 암호화됩니다.
- CMK로 보호되는 인프라에서 들어오고 나가는 네트워크 트래픽을 활성화하려면 흐름이 계속 작동하도록 방화벽 구성을 업데이트하세요.
- CMK를 사용하여 테넌트에서 25개 이상의 환경을 보호하려는 경우 지원 티켓을 만듭니다. 테넌트당 CMK 지원 Power Automate 환경의 기본 제한은 25개입니다. 이 번호는 지원 팀에 문의하여 연장할 수 있습니다.
암호화 키 적용은 Power Platform 관리자가 수행하는 동작이며 사용자에게는 보이지 않습니다. 사용자는 MMK가 데이터를 암호화한 것과 정확히 동일한 방식으로 Power Automate 워크플로를 만들고, 저장하고, 실행할 수 있습니다.
CMK 기능을 사용하면 환경에서 생성된 단일 엔터프라이즈 정책을 활용하여 Power Automate 워크플로를 보호할 수 있습니다. 고객 관리 암호화 키 관리에서 CMK와 CMK를 활성화하는 단계별 지침에 대해 자세히 알아보세요.
Power Automate 호스트형 로봇 프로세스 자동화(RPA)(프리뷰)
Power Automate 호스트형 RPA 솔루션의 호스트형 머신 그룹 기능은 CMK를 지원합니다. CMK를 적용한 후에는 머신 그룹 세부 정보 페이지에서 그룹 재프로비저닝을 선택하여 기존에 호스트형 머신 그룹을 재프로비저닝해야 합니다. 다시 프로비저닝되면 호스트형 머신 그룹 봇의 VM 디스크는 CMK로 암호화됩니다.
참고
호스트형 머신 기능에 대한 CMK는 현재 사용할 수 없습니다.
방화벽 구성 업데이트
Power Automate를 사용하면 HTTP 호출을 수행할 수 있는 흐름을 빌드할 수 있습니다. CMK를 적용한 후 Power Automate의 아웃바운드 HTTP 작업은 이전과 다른 IP 범위에서 시작됩니다. 방화벽이 이전에 흐름 HTTP 작업을 허용하도록 구성된 경우 새 IP 범위를 허용하도록 구성을 업데이트해야 할 수 있습니다.
- Azure Firewall을 사용하는 경우 서비스 태그
PowerPlatformPlex를 구성에 직접 적용하면 올바른 IP 범위가 자동으로 구성됩니다. 가상 네트워크 서비스 태그에서 자세히 알아보세요. - 다른 방화벽을 사용하는 경우 Azure IP 범위 및 서비스 태그 - 퍼블릭 클라우드 다운로드에서 참조된
PowerPlatformPlex의 IP 범위에서 인바운드 트래픽을 찾아 활성화하세요.
그렇지 않은 경우 '대상 머신이 적극적으로 거부했기 때문에 연결할 수 없습니다.'라는 오류가 발생하여 Http 요청 실패 오류가 발생할 수 있습니다
Power Automate CMK 애플리케이션 경고 메시지
특정 흐름이 CMK 애플리케이션 이후 MMK에 의해 계속 보호되는 경우 정책 및 환경 관리 환경에 경고가 표시됩니다. "Power Automate 흐름은 Microsoft 관리형 키로 계속 보호됩니다"라는 메시지가 표시됩니다.
PowerShell 명령을 활용하여 이러한 흐름을 식별하고 CMK로 보호할 수 있습니다.
MMK에 의해 계속 보호되는 흐름 보호
다음 흐름 범주는 엔터프라이즈 정책을 적용한 후에도 MMK에 의해 계속 보호됩니다. 지침에 따라 CMK로 흐름을 보호합니다.
| 카테고리 | CMK로 보호하는 방식 |
|---|---|
| 솔루션에 없는 Power App v1 트리거 흐름 | 옵션 1(권장) CMK를 적용하기 전에 V2 트리거를 사용하도록 흐름을 업데이트합니다. 옵션 2 CMK 애플리케이션 이후 다른 이름으로 저장을 사용하여 흐름의 복사본을 만듭니다. Power Apps 호출을 업데이트하여 흐름의 새 복사본을 사용합니다. |
| HTTP 트리거 흐름 및 Teams 트리거 흐름 | 엔터프라이즈 정책 애플리케이션 이후 다른 이름으로 저장을 사용하여 흐름의 복사본을 만듭니다. 새 흐름의 URL을 사용하도록 호출 시스템을 업데이트합니다. 이 흐름 범주는 CMK 보호 인프라에서 새 흐름 URL이 생성되므로 자동으로 보호되지 않습니다. 고객은 호출 시스템에서 URL을 활용할 수 있습니다. |
| 자동으로 마이그레이션할 수 없는 흐름의 상위 항목 | 흐름을 마이그레이션할 수 없는 경우 비즈니스 중단이 발생하지 않도록 종속 흐름도 마이그레이션되지 않습니다. |
PowerShell 명령
관리자는 PowerShell 명령을 플라이트 전 및 플라이트 후 유효성 검사의 일부로 활용할 수 있습니다.
CMK를 사용하여 자동으로 보호할 수 없는 흐름 검색
다음 명령을 사용하여 MMK 이후 CMK 엔터프라이즈 애플리케이션으로 계속 보호되는 흐름을 식별할 수 있습니다.
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id> -ListCannotMigrateToCustomerManagedKey
| DisplayName | FlowName | EnvironmentName |
|---|---|---|
| 청구서 HTTP 가져오기 | 흐름-1 | 환경-1 |
| 앱에서 청구서 지불 | 흐름-2 | 환경-2 |
| 계정 조정 | 흐름-3 | 환경-3 |
지정된 환경에서 CMK로 보호되지 않는 흐름 검색
CMK 엔터프라이즈 정책을 실행하기 전과 후에 이 명령을 활용하여 MMK로 보호되는 환경의 모든 흐름을 식별할 수 있습니다. 또한 이 명령을 활용하여 지정된 환경에서 흐름에 대한 CMK 애플리케이션의 진행 상황을 평가할 수 있습니다.
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id>
| DisplayName | FlowName | EnvironmentName |
|---|---|---|
| 청구서 HTTP 가져오기 | 흐름-4 | 환경-4 |
고객 관리형 암호화 키 관리에서 자세히 알아보세요.
흐름 세부 정보 페이지에서 실행 기록 가져오기
흐름 세부 정보 페이지의 실행 기록 목록에는 CMK 애플리케이션 이후만 새 실행이 표시됩니다.
입력/출력 데이터를 보려면 실행 기록(모든 실행 보기)을 사용하여 흐름 실행 기록을 CSV로 내보낼 수 있습니다. 이 기록에는 모든 트리거/작업 입력 및 출력을 포함한 신규 및 기존 흐름 실행이 모두 포함되며 레코드는 100개로 제한됩니다. 이 제한은 CSV 내보내기에 대한 기존 동작과 일치합니다.
지원 티켓으로 실행 기록 가져오기
CMK 애플리케이션 이후 기존 및 새 흐름 실행의 모든 실행에 대한 요약 보기를 제공합니다. 이 보기에는 실행 ID, 시작 시간, 기간 및 실패/성공과 같은 요약 정보가 포함됩니다. 입력/출력 데이터가 포함되어 있지 않습니다.
알려진 제한 사항
제한 사항에는 이 섹션에 설명된 대로 분석 파이프라인을 사용하는 기능 및 Power Apps에 의해 트리거되는 비솔루션 클라우드 흐름에 대한 제한이 포함됩니다.
분석 파이프라인을 적용하는 기능에 대한 제한 사항
고객 관리형 키에 대해 환경을 사용하도록 설정하면 다양한 시나리오에 대해 Power Automate 데이터를 분석 파이프라인으로 보낼 수 없습니다.
- Power Platform 관리 센터의 테넌트 전체 보고
- Data Lake로 데이터 내보내기
- 클라우드 흐름 실행 기록(자동화 센터용)
- Power Automate 모바일 앱, 알림 페이지
- 클라우드 흐름 활동 페이지
- 흐름 실패 이메일
- 흐름 실패 다이제스트 이메일
Power Apps에 의해 트리거되는 비솔루션 클라우드 흐름에 대한 제한
Power Apps 트리거를 사용하고 CMK 보호 환경에서 생성되는 비솔루션 클라우드 흐름은 앱에서 참조할 수 없습니다. Power Apps에서 흐름을 등록하려고 할 때 오류가 발생합니다. 솔루션 클라우드 흐름만 CMK로 보호된 환경의 앱에서 참조할 수 있습니다. 이런 상황을 피하려면 먼저 흐름을 Dataverse 솔루션에 추가하여 성공적으로 참조할 수 있도록 해야 합니다. 이러한 상황을 방지하려면 CMK로 보호되는 환경에서 Dataverse 솔루션에서 자동으로 흐름을 생성하는 환경 설정을 활성화해야 합니다. 이 설정은 새 흐름이 솔루션 클라우드 흐름이 되도록 합니다.
Copilot 스킬 트리거 흐름 호출 제한
포함된 연결이 아닌 호출 Copilot 사용자의 연결을 적용하는 Copilot 기술 트리거를 통해 클라우드 흐름이 호출되는 시나리오는 CMK로 보호되는 클라우드 흐름에 대해 지원되지 않습니다. Microsoft 365용 Copilot에서 흐름 실행에서 Copilot의 플러그인으로 흐름을 사용하는 방법에 대해 자세히 알아보세요.